Secondo Forrester Research bisogna creare una cultura organizzativa centrata sulla business continuity e, soprattutto, sottoporre costantemente a revisione e test le procedure.
Di continuità operativa virtù, verrebbe quasi da dire. Sì perché le realtà che sperimentano la business continuity lo fanno, spesso, forzate dagli obblighi di carattere normativo o da questioni legate al business, quasi mai spontaneamente.
La funzionalità del data center, 24 ore su 24, è una condizione fondamentale per chi lavora online, ad esempio e per le banche, ma molte aziende manifatturiere possono anche tollerare il fastidio di “un downtime ogni tanto”.
Una strategia di continuità operativa non può essere disgiunta da un approccio completo, che investa la corretta gestione del data center.
«Il lavoro più duro per il Cio – esordisce Bill Nagel, ricercatore di Forrester Research – è riuscire a conciliare le aspettative di business con le capacità It. Cosa non facile, visto che si tratta di condurre un’analisi dell’impatto sulle attività d’impresa del fermo macchine, cosa di per sé difficilmente stimabile, e di rivederla periodicamente, in linea con l’evoluzione delle minacce».
I rischi, infatti, non sono dati e immutabili nel tempo. Al contrario, occorre tenerli sotto controllo costantemente e aggiornare l’infrastruttura informativa in modo che sia sempre “tarata” al meglio sulla loro evoluzione.
«Solo un approccio metodologico al risk assessment può assicurare risultati completi e riproducibili – chiarisce l’analista -. La formalizzazione di un piano è, infatti, fondamentale per gestire al meglio i cambiamenti che intervengono in uno spazio complesso quale quello della disaster recovery. Nulla può essere lasciato al caso o gestito in modo approssimativo. Ecco perché noi suggeriamo l’applicazione di metodologie plasmate sulle linee guida dei framework attuali, come Iso 17799 e 27001, o di quelli del futuro più prossimo, come Bs 25599».
Adottare una metodologia formale o, almeno, avere un minimo di dimestichezza con queste linee guida condivise può, infatti, assicurare un percorso “in discesa” verso l’implementazione di un approccio di continuità operativa. Approccio che non può essere relegato a un “affare per l’It” ma che, al contrario, investe pesantemente tutta l’organizzazione, qualsiasi ufficio o funzione coinvolta nei processi di business e che, con il proprio operato, produca dati.
«Il budget It dedicato alla sicurezza – gli fa eco Rüdiger Krojnewski, principal consultant di Forrester Research – deve necessariamente essere gestito da un advisor con un ruolo di consulenza. Questa figura dovrà farsi carico di offrire il servizio di operatività ininterrotta alle diverse aree funzionali dell’azienda. Per contro, in fase di definizione degli stanziamenti, l’azienda dovrà necessariamente garantire che una quota del budget venga destinata alla continuità operativa, creando gli stanziamenti laddove non siano ancora previsti».
Quella della definizione degli stanziamenti è una fase piuttosto critica, perché troppo spesso le aspettative dell’organizzazione sono irrealistiche rispetto ai soldi investiti, da un lato, e ai servizi ottenibili dall’altro. «Il vero problema – prosegue Krojnewski – è che la continuità operativa ha un’efficienza difficilmente quantificabile finché tutto funziona al meglio. Questo diventa un problema in fase di definizione dei budget, quando la disaster recovery si trova a competere con altri progetti It in grado di garantire benefici immediati, come una migliore gestione del magazzino e, di conseguenza una riduzione del costo di prodotto».
Ecco perché l’analista suggerisce di utilizzare metriche apposite, definendo diversi gradi di continuità operativa, misurando le spese in quest’area come percentuale dei costi operativi e, soprattutto, confrontando gli investimenti in business continuity con altre opzioni tecnologiche su periodi medi, ovvero su cicli temporali compresi tra i 2 e i 4 anni.
«Bisogna, però, lavorare soprattutto alla creazione di un’organizzazione data recovery-centrica – puntualizza Krojnewski – . Questo servirà a evitare di introdurre tecnologie in modo silenzioso, di soppiatto. Tecnologie che, poi, magari non incontrano il favore dell’organizzazione. Ma servirà soprattutto a instaurare e mantenere un buon livello comunicazionale tra i team dedicati all’implementazione delle architetture e quelli dediti all’operatività quotidiana dell’It».
In questo processo, la selezione dei partner gioca un ruolo fondamentale. Poche aziende, infatti, riescono a implementare la business continuity utilizzando solo personale interno. «Generalmente – conclude Nagel – la selezione dei partner avviene secondo due modalità. Da un lato c’è chi tende a privilegiare pochi partner fidati, selezionando quelli che rispondono al meglio alle esigenze contingenti. Dall’altro, c’è chi crea una procedura completa di definizione delle caratteristiche del servizio e provvede a confrontare i diversi vendor sul mercato. In ambo i casi, l’azienda dovrà dedicare una parte dello staff It alle attività di selezione e, soprattutto, incanalare team e risorse al test dei servizi sottoscritti. Sì perché il test è un male necessario. Un male in quanto richiede, inevitabilmente, dei fermi macchina programmati e, soprattutto, perché può esporre l’azienda a alcuni rischi. Risulta fondamentale, quindi, al di la di quelli che sono i test programmati su base annua, che le aziende sottopongano a revisione e test i propri data center ogni qualvolta siano intervenuti dei cambiamenti nell’ambiente di data recovery».
